UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI BERGAMO FACOLTÀ DI INGEGNERIA Corso di Laurea in Ingegneria Informatica Classe n. 9 UN NUOVO MODELLO DI SISTEMA PER L'IDENTIFICAZIONE DELLE INTRUSIONI INFORMATICHE: IL ROUTER-IDS Relatore Stefano Paraboschi Prova finale di Marco Balduzzi NOME Matricola n COGNOME ANNO ACCADEMICO 2003/2004

2 Questa pagina è stata lasciata intenzionalmente bianca.

3 Licenza Questo documento è distribuito sotto i termini della licenza GNU Free Documentation. Copyright (c) 2004 Marco Balduzzi. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the file called fdl.txt or downlodable from the Internet address 1

4 Indice 0. Sommario Sicurezza dell'informazione: dall'approccio tradizionale a quello moderno Il concetto di Intrusion Detection System Tassonomia degli Intrusion Detection System Classificazione per approccio Classificazione per caratteristiche Network-based e Host-based IDS Sistemi ed architetture rilevanti Host-based IDS Tripwire GrSecurity KSTAT Network-based IDS Snort snort_inline, un esempio di IPS I limiti degli attuali Intrusion Detection Sytem L'approccio context-based Il modello Router-IDS e una sua implementazione: RIDS Simple Network Managment Protocol (SNMP) L'architettura di RIDS L'implementazione Problemi sulle interfacce Attacchi DoS Volume di traffico anomalo Information gathering via portscanning Attacchi alla routing table Attacchi a CDP Attacchi SNMP Alto numero di connessioni Modifica delle configurazioni e dell'immagine IOS Attività di backup della configurazione e dell'immagine IOS

5 Fault hardware e software Risultati ottenuti RIDS Bibliografia Riferimenti

6 0. Sommario Questa tesi propone un modello innovativo di Intrusion Detection System (software per il rilevamento delle intrusioni informatiche) basato sull approccio context-based. Tre principi stanno alla base dell approccio utilizzato: focus, conoscenza a priori e correlazione. La prima parte del documento introduce gli obiettivi della sicurezza informatica, espressi in termini di confidenzialità, integrità e disponibilità dei dati (paradigma C.I.D.). Seguiranno due capitoli dedicati ai motivi che hanno spinto la comunità di ricerca nel campo dell Information Security allo studio di un approccio alternativo a quello classico del Who are you? What can you do?. Sarà illustrato il concetto di Intrusion Detection System e verrà descritto lo stato dell arte di questa tecnologia fornendo alcune classificazioni rispetto all approccio utilizzato nell individuazione delle intrusioni, alle caratteristiche e al tipo di sorgente dati gestita dell IDS (questa ultima proprietà ne determina la famiglia di appartenenza). Il quarto capitolo elenca le soluzioni Opensource più diffuse di Intrusion Detection System. Il quinto capitolo evidenzia i limiti degli attuali sistemi Intrusion Detection quali l alto numero di falsi negativi e positivi, la mancanza di valorizzazione delle informazioni e la limitata visione di contesto. La seconda parte del documento si apre con la descrizione dei tre principi dell approccio context-based: per focus si intende la capacità dell IDS di adattare il proprio comportamento a contesti di tipo e dimensione diversa; grazie alla conoscenza a priori la configurazione dell IDS è modellata secondo la tipologia dell infrastruttura di rete, del contesto operativo e dei rischi a cui è esporto il sistema monitorato; la correlazione tra eventi provenienti da più IDS arricchisce il contenuto informativo sintetizzando ricche informazioni sulla rilevazione delle intrusioni e riducendo il numero di falsi positivi/negativi. 4

7 Il settimo capitolo descrive il modello proposto presentandone una semplice implementazione software, sufficiente ad evidenziare le caratteristiche innovative e migliorative dell approccio context-based. Il codice sorgente del programma è stato inserito nel capitolo successivo. La tesi si conclude con la bibliografia e i riferimenti. 5

8 1. Sicurezza dell'informazione: dall'approccio tradizionale a quello moderno Gli obiettivi della sicurezza dell'informazione sono descritti in termini di confidenzialità, integrità e disponibilità. Questo modello prende il nome di paradigma C.I.D. (o usando i termini inglesi confidentiality, integrity e availability, paradigma C.I.A). La confidenzialità è la capacità di un sistema di offrire i propri servizi soltanto a chi ne ha l'autorità per farlo. Possiamo rappresentare formalmente questo attributo come una relazione di lettura tra chi usa il sistema e i servizi offerti da quest ultimo. Per integrità si definisce la capacità di un sistema di rendere possibile solo alle persone autorizzate la modifica delle sue risorse e dei suoi dati, in modo da mantenere una consistenza tra questi dati e le funzioni svolte dal sistema. Infine il termine disponibilità indica la capacità del sistema informatico di offrire sicuramente, tempestivamente e in ogni circostanza l'accesso alle persone che possiedono il diritto di farlo. Qualsiasi applicazione che offre un accesso multi utente richiede un livello di sicurezza minimo per garantire, quanto possibile, il paradigma C.I.D.. L'implementazione tradizionale di un sistema di sicurezza consiste nell'associazione utente privilegio secondo il paradigma identificazione e gestione dei privilegi, solitamente riassunto dal motto Who are you? What can you do? : il sistema chiede all'utente (che può essere una persona o un altro sistema) di identificarsi e usa questa identità per attivare una serie di regole operative. Il successo di questo paradigma sta nella sua ortogonalità rispetto al problema: non è infatti difficile applicare il modello di login e autenticazione ad un sistema esistente di qualsiasi tipo. Tuttavia il paradigma C.I.D., nella sua linearità e semplicità, rappresenta un mondo ideale impossibile da garantire certamente: un sistema informatico non potrà mai essere considerato perfettamente sicuro e nell'implementazione di un sistema di sicurezza è bene saperlo fin dall'inizio. Nessuna politica di sicurezza applicata al sistema potrà mai impedire che prima o poi si verifichi una intrusione, più o meno grave. I sistemi reali usati nelle infrastrutture odierne presentano problematiche di non facile 6

9 soluzione. Il bisogno sempre maggiore di sicurezza si scontra con la necessità di funzionalità del sistema stesso. Spesso ci si trova a dover giungere a un compromesso tra funzionalità e sicurezza. Sarebbe troppo facile garantire un livello di sicurezza certo restringendo l'accesso al sistema al punto tale da negare il servizio anche alle persone autorizzate. In tal caso si andrebbe soltanto contro il principio di disponibilità del paradigma C.I.D.! Come se ciò non bastasse è pratica comune per le aziende comprare il software sotto forma di COTS (Commercial, Off The Shelves) dal momento che mettersi a produrlo internamente comporterebbe un onere troppo alto da sopportare. Se questa pratica ha aspetti economici positivi, d'altra parte è una vera e propria minaccia per la sicurezza dell'azienda. Un software di terze parti rilasciato sotto copyright impedisce all'acquirente qualsiasi forma di controllo del codice, e lo obbliga ad affidare la propria produttività a un software spesso poco testato e lontano dai requisiti di sicurezza minimi. Inoltre l'esperto di sicurezza si trova ad applicare delle policy a un software che non può manipolare direttamente. Per lui diviene necessario aggiungere componenti security-releated a quelli esistenti che spesso sono di difficile integrazione e interoperabilità. E' difficile pensare che un aggregato di componenti talmente eterogenei rispetti le specifiche di sicurezza definite a priori. L'approccio tradizionale al paradigma C.I.D. pone le sue fondamenta sul concetto di password (e di token). Entrambi questi metodi di identificazione sono da considerarsi deboli. La scelta comune di utilizzare password corti e facili da ricordare permette ad un attaccante di recuperarle in poco tempo tramite un attacco a dizionario. Anche il vizio degli utenti di scrivere la propria password in posti visibili, come sul monitor del PC o su un post-it appeso sull'armadio dell'ufficio, non aiutano di certo a prevenire un furto di identità. Così come le password anche i token, benché entità fisiche uniche, possono essere rubati, persi o falsificati. A questo punto sono evidenti i limiti dell'approccio tradizionale al paradigma C.I.D., quello del Who are you? What can you do? basato sulla relazione risorsa-utilizzatore. Il concetto di Intrusion Detection System (IDS) è complementare al paradigma tradizionale e pone il suo fondamento sulla constatazione che non esiste sicurezza assoluta e che un sistema informatico, benché protetto con politiche di security elevate, prima o poi sarà vittima di una intrusione. Le proposizioni Che cosa stai cercando di 7

10 fare? Perché stai operando in questo modo? descrivono perfettamente il modus operandi dell'ids che risulta essere complementare a quello visto in precedenza. Seguirà una trattazione più ampia nel capitolo seguente. 8

11 2. Il concetto di Intrusion Detection System Gli Intrusion Detection System svolgono nel campo della sicurezza dell'informazione lo stesso ruolo che possiede l'antifurto della nostra auto: quello di individuare per tempo le azioni illecite di possibili ladri. Questo scopo è raggiunto combinando gli allarmi generati dall'ids al momento dell'intrusione con l'azione tempestiva del responsabile informativo 1 che provvedere ad attuare le opportune azioni di verifica. Gli IDS entrano in gioco nella difficile fase di rilevamento dell'intrusione, mentre i sistemi tradizionali affrontano il problema secondo il paradigma risorsa-utente. Analogamente a quanto succede per la nostra auto l'antifurto è solo l'atto finale di una messa in sicurezza della stessa, attraverso l'utilizzo di serrature e chiavi. Allo stesso modo, i sistemi di sicurezza basati sul paradigma C.I.D. rafforzano il perimetro del sistema informatico dalle possibili minacce per mezzo di firewall, proxy e quant'altro e il sistema stesso da attacchi locali mirati ad elevare i privilegi dell'attaccante. 2 Il concetto di Intrusion Detection System è stato coniato nel 1980 da P. Anderson [1] e recita: Intrusion detection systems analize information about the activity performed in a computer system or network, looking for evidence of malicious behaviours. Benchè siano passati più di due decenni dalla definizione di Intrusion Detection System e molto è stato scritto da allora in letteratura, solamente negli anni '90 videro la luce le prime implementazioni funzionanti di questi sistemi, sebbene molto più semplici di quelle proposte in teoria. E. Lundin e E. Jonsson in un loro paper dal titolo Survey of Intrusion Detection Research [2] propongono un modello generico di IDS che è illustrato in figura 1. 1 L'amministratore o il Site Security Officer (SSO). 2 La procedura di messa in sicurezza di un sistema informatico è conosciuta con il nome di hardening. 9

12 Fig. 1 L architettura generica di un Intrusion Detection System L'Event Generator svolge la funzione di data collection: recupera i dati dal sistema monitorato (target-system) 1 e li traduce in un linguaggio comprensibile all Intrusion Detection System a seguito delle direttive definite nella Data Collection Configuration. L'Event Generator può richiedere attivamente i dati al target-system che provvederà ad inviarne una copia o acquisire passivamente le informazioni che quest'ultimo produce (i log per esempio). Conseguentemente al processo di normalizzazione, utile soprattutto per omogeneizzare i dati provenienti da target-system differenti, le informazioni sono passante al componente d'analisi e contemporaneamente vengono depositate in un Log Data Storage mantenendo una History dei dati per analisi future. Il motore del sistema è l'analysis Engine che implementa tutti gli algoritmi di rilevazione delle intrusioni. L'Analysis Engine fa fortemente uso del Detection Policy in cui son depositate le informazioni preprogrammate su come rilevare le intrusioni e tutte le policy definite dall'amministratore. L'Analysis Engine può essere molto diverso da un IDS all'altro al contrario degli altri componenti dell'ids che rimangono all'incirca simili. Vedremo nel prossimo capitolo alcune implementazioni di Analysis Engine diverse in funzione delle famiglie di Intrusion Detection. L'unità finale di Response Unit risponde in seguito di un evento positivo con opportune 1 Da ora in poi si farà riferimento al sistema monitorato con il termine target-system o soggetto. 10

13 azioni. Il comportamento della Response Unit è personalizzato sulla base delle policy inserite nel database di Response Policy. Un IDS tradizionale, come detto all'inizio del capito, si limita ad avvisare il SSO a cui è relegato l'onere di un controllo approfondito; un IDS distribuito può generare un alert per un secondo IDS; in un IPS (Intrusion Prevention System) la Response Unit genera un'azione retroattiva sul target-system o su un componente esterno per prevenire una intrusione futura dello stesso tipo o da parte della stessa fonte, oppure per riportare il sistema nelle condizioni di funzionamento corretto. 11

14 3. Tassonomia degli Intrusion Detection System In letteratura sono state date numerose classificazioni dei sistemi Intrusion Detection e la più scontata è quella che si basa sull'approccio utilizzato nel processo di detection. 3.1 Classificazione per approccio Axelson in Research In Intrusion-Detection System: A Survey [3] identifica due grosse categorie che sfruttano due approcci profondamente diversi: - Anomaly-detection: il sistema calcola statisticamente e reagisce a deviazioni significative dal comportamento normale del soggetto. 1 Normale è definito in relazione al comportamento osservato precedentemente sul soggetto, ed è tipicamente aggiornato quando è disponibile una nuova conoscenza su di esso. Il sistema modella e autoapprende i nuovi profili di comportamento: questo aggiornamento è periodico e automatico. Anomaly detection può essere fatto in molti modi, per esempio attraverso reti neurali [DBS92] e analisi statistica complessa [JV94]. - Signature-detection (o misuse-detection): il sistema ricerca l'evidenza di una intrusione all'interno dei dati che corrispondono a firme (signatures) note di un comportamento intrusivo o anomalo. Solitamente queste firme sono costruite off-line, manualmente, man mano che nuovi tipi di attacchi sono resi pubblici alla comunità (per esempio inserendoli nel database Common Vulnerability and Exposures o CVE [5]) e sono mantenute in un database di conoscenza dell'ids. Ciascuno di questi approcci ha pregi e difetti che riassumiamo brevemente. Anomaly-detection: - Pregi: l'operatore non deve definire manualmente i profili normali di funzionamento del soggetto dal momento che l'ids è in grado di autoapprenderli. L'Intrusion Detection System, non possedendo un database di conoscenza definito a priori, è in grado di identificare intrusioni che sfruttano vulnerabilità nuove e non ancora rese pubbliche ( attacchi 0 day ) così come variazioni di attacchi noti. - Difetti: l'approccio anomaly-detection soffre di un alto numero di falsi negativi. Quando la distinzione tra anomalo e normale è poco marcata il sistema può 1 Per soggetto si intenda un utente, un host o una tipologia di rete. 12

15 facilmente classificare come corretto un comportamento che invece non lo è. Un scenario che mette in luce questo problema è quello in cui l'attaccante, cambiando lentamente il proprio comportamento nel tempo, costringe l'ids ad attribuirgli un profilo di normalità tale da pregiudicarne l'efficienza in fase di detection. Questo problema comporta un alto numero di falsi negativi (vedi poco dopo). Signature-detection: - Pregi: l'efficienza di un IDS che sfrutta un approccio di questo tipo è direttamente proporzionale alla qualità delle firme che adotta. Per cui in presenza di un database costantemente aggiornato e gestito con cura si può in linea teorica affermare che il numero di falsi positivi si mantiene basso. - Difetti: mantenere una base di conoscenza delle firme efficiente (vasta e in continuo aggiornamento) è un'attività difficile e richiede molte energie. Sicuramente questo metodo ha limitate capacità predittive poiché non è in grado di rilevare comportamenti intrusivi per cui non esistano delle firme corrispondenti nel database. Oltre agli approcci anomaly e misuse detection, un terzo approccio di tipo Ibrido integra entrambe le due categorie viste in precedenza. Sebbene gli Intrusion Detecion System ibridi traino vantaggio dai benefici offerti dai due approcci, vi sono tuttavia problemi di metriche decisionali e di falsi positivi che ne limitano il numero di implementazioni. 3.2 Classificazione per caratteristiche Senza entrare troppo nello specifico è facilmente classificare gli Intrusion Detecion System anche in funzione delle principali caratteristiche del sistema: - tempo d'analisi: i sistemi che analizzano il flusso dei dati in tempo reale sono definiti real-time o on-line, quelli che lavorano a posteriori sui dati catturati si chiamano non-real-time o off-line. E' ben non confondere un sistema di analisi forense con quello di un IDS offline: il primo è utilizzano a seguito di una intrusione per costruire lo scenario d'attacco ed è eseguito occasionalmente, il secondo è attivato periodicamente e, secondo la definizione di IDS, è utilizzato per rilevare possibili anomalie o intrusioni. - granularità del processo d'analisi: questa caratteristica permette di suddividere 13

16 gli IDS tra quelli che processano i dati continuamente e quelli che lo fanno per processi (batch). Anche per questa classificazione è bene non confondersi: un sistema off-line può processare i dati continuamente come uno on-line può farlo per piccoli lotti. - sorgente dei dati: la/e sorgente/i dati dell'event Generator (a tal proposito vedere la fig. 1) è una caratteristica talmente importante dell'intrusion Detection System che ne determina il tipo. Le due maggiori sorgenti sono il flusso dati della rete (network-data) e le informazioni locali del target-system (host-data) 1. Seguirà nel paragrafo 3.1 una discussione approfondita dei tipi di Intrusion Detection System in funzione della sorgente dati acquisita. - risposta del sistema: due categorie di IDS si contendono in questa sezione: passivi (on-line) e attivi (in-line). Sono stati espressi numerosi pareri contrastanti a riguardo di questa classificazione, ed è facile incorrere in discussioni in merito all'argomento nelle mailing-list che trattano la tecnologia degli Intrusion Detection System 2. E' mia abitudine identificare gli IDS passivi con quelli tradizionali, che a seguito di una intrusione si limitano ad avvisare le persone preposte al controllo del target-system di quanto accaduto; al contrario gli IDS attivi intervengono attivamente sul target-system modificandone lo stato. Gli IDS attivi, che preferisco chiamare in-line, sono la novità di questi ultimi anni, e molti vendor stanno investendo in questa tecnologia che hanno battezzato Intrusion Prevention System, il cui acronimo è IPS. Molti di voi mi riterranno tradizionalista dal momento che non credo nella bontà degli IPS. Il maggior motivo che mi ha spinto a considerare gli IPS una strategia commerciale adottata da molti vendor piuttosto che una tecnologia innovativa è la seguente. Il grosso problema di tutti gli IDS è l'alto tasso di errori commessi nel processo di rilevamento delle intrusioni. In letteratura sono stati identificate due grosse categorie di errori: i falsi negativi rappresentano l incapacità di un IDS di segnalare un caso in cui un attacco è riuscito a compromettere il target-system; i falsi positivi rappresentano una segnalazione di attacco o tentato attacco quando non esistono vulnerabilità corrispondenti e l'intrusione non è andata a buon fine. Se gli errori di falso negativo consistono in un mancato riconoscimento della forma d'attacco e pongono un limite all'efficacia dell'ids, 1 Log del kernel, log degli applicativi, attributi del filesystem, configurazione della memoria, etc.. 2 La più conosciuta è Focus-IDS di SecurityFocus. Trovate un riferimento del capitolo

17 quelli di falso positivo sono ancora più preoccupanti perchè riempiono il SSO di allarmi falsi e sbagliati! Tornando al paragone con l'antifurto della nostra macchina, un falso positivo è quello in cui scatta l'allarme dell'antifurto sebbene nessuno abbia provato a rubarci la macchina. Quante volte ci siamo lanciati in folle corsi nella speranza di trovare il ladro e accorgendosi successivamente di esser stati fregati da un tuono o da una foglia atterrata nell'auto? Parlerò più approfonditamente di questo dilemma nel capitolo 5. Se per gli Intrusion Detection System il problema dei falsi positivi è grave e comporta falsi allarmi per il SSO, per gli Intrusion Prevention System lo è ancor di più. Quando l'analysis Engine dell'ips sbaglia e commette un errore di falso positivo, interviene con una retroazione errata sul target-system che, nelle migliori delle situazioni, corrisponde a un blocco di traffico legittimo, cosa ben più grave! Concludendo, a mio avviso costruire un nuovo edificio su un terreno poco solido, è come porre le basi di un nuovo sistema software sull'instabilità di quello esistente, ignorando i problemi che lo caratterizzano: primo tra tutti l'eccessivo numero di falsi positivi. Credo che prima di estendere il concetto di IDS con quello di IPS sia necessario garantire alla struttura software originaria una stabilità e robustezza tale da permetterne un'evoluzione sicura. 3.3 Network-based e Host-based IDS All'interno del capitolo sulla tassonomia degli IDS è d'obbligo dedicare un paragrafo alle due grosse famiglie di Intrusion Detection System: quelli network-based (NIDS) e quelli host-based (HIDS). Come anticipato nello scorso paragrafo il tipo di dato acquisito dal sistema antiintrusione è di fondamentale importanza, tale da influenzarne la famiglia d appartenenza: il sensore di un network-based IDS gestisce una sorgente networkdata, quello di un host-based IDS una sorgente host-data. Dal momento che la classificazione per approccio (anomaly vs misuse) è ortogonale rispetto a quella per sorgente dati (host vs network), un network-based IDS può adottare sia un approccio anomaly-detection che misuse-detection (anche entrambi). Tuttavia è più facile trovare funzioni di misuse-detection all'interno di un NIDS e, viceversa, funzioni di anomaly-detection in un HIDS. 15

18 Storicamente gli host-based IDS furono i primi IDS a venire sviluppati e basano il loro funzionamento sul controllo in loco di log, syscall, file e qualsiasi altra funzione/variabile caratteristica del target-system, al fine di individuare possibili azione illecite nei confronti del sistema stesso. Dal momento che gli IDS host-based controllano un singolo soggetto (un host o un'applicazione), ne esistono di molti tipi a seconda del sistema operativo e del software installato (vedi paragrafo 4.1). Un network-based IDS presenta Logging/alerting un'architettura a layer: il sensore di cattura engine il traffico di rete, lo invia all'unità d'analisi che svolge opportune funzione di Detection engine decodifica, normalizzazione e analisi. La procedura di lettura in real-time del traffico è spesso implementata attraverso una libreria di rete di basso livello 1. Il Packet decoder sensore deve essere collocato opportunamente all'interno del sistema distribuito in modo da poter catturare tutte libpcap le informazioni necessarie per poter operare. Questa necessità spesso si traduce in complicate acrobazie da parte Network dell'installatore del sistema di intrusion detection. Con la veloce diffusione degli apparati di switching tutte le reti sono NIDS Architecture logicamente frammentate e il sensore deve Fig. 2 essere collegato alla porta di SPAN dello switch dopo averlo opportunamente configurato per replicare tutto il traffico verso il sensore [CISCO1]. Una seconda possibilità è inserire tap passivi nei segmenti che l'ids deve monitorare. L'esperienza vuole che statisticamente molti tap abbiano grossi problemi nel loro funzionamento. Questi problemi non si presentavano per le vecchie reti hubbate in cui era sufficiente collocare il sensore in una porta qualsiasi dell'hub. 1 La più conosciuta e utilizzata è la Libpcap [4] distribuita con licenza Opensource BSD [BSD]. 16

19 Questo ed altri limiti dei NIDS saranno discussi nel capitolo dedicato. In un network-based IDS con approccio misuse-detection l'attività di analisi svolta dall'analysis Engine è basata su un meccanismo di pattern matching tra il traffico di rete e la base dati delle firme. Nell'evoluzione di ogni Intrusion Detection System gli algoritmi di pattern matching sono diventati più sofisticati, complessi e inevitabilmente più onerosi in termini di risorse di sistema. In letteratura sono stati proposte molte soluzioni, alcune delle quali sono state implementate da vendor più o meno famosi. A tal proposito il paper di Sourcefire Snort Detection Revisited [SF1] è un buon punto di partenza nell'approfondimento del funzionamento di un Analysis Engine per un IDS network-based con approccio signature-detection. Atri documenti degni di nota sono [SF2], [SF3] e [SF4]. Piccola nota a margine, Sourcefire è il vendor che ha contribuito maggiormente al finanziamento e allo sviluppo del più famoso NIDS Opensource: Snort 1 [SNORT]. Così come assieme al bianco e al nero esistono sempre delle sfumature grigie intermedie, tutte le suite IDS più popolari utilizzano un approccio misto ottenendo un sistema anti-intrusione capace di controllare l'intera rete e le singole macchine allo stesso tempo. Una soluzione ibrida sfrutta le caratteristiche positive di entrambe le tipologie di Intrusion Detection, ma allo stesso tempo deve far fronte a un numero di falsi positivi ancora superiore. 1 Per maggiori informazioni si faccia riferimento al paragrafo

20 4. Sistemi ed architetture rilevanti L'intento di questo capitolo è di presentare le implementazioni più popolari di Intrusion Detection System (con l'eccezione di snort_inline [SI] che è il corrispondente IPS di Snort). Ritengo più istruttivo e coerente con l'approccio di ricerca presentare software Opensource dal momento che tale licenza da diritto al suo utilizzatore di provare, studiare, modificare e distribuire il software stesso senza alcuna forma di copyright 1. Nella bibliografia ho riportato i link da cui prelevare gratuitamente e sotto forma di codice sorgente tali applicativi. 4.1 Host-based IDS Esistono tre grosse famiglie di HIDS: - Filesystem-monitoring: controllano il target-system attraverso un confronto periodico tra un DB trusted e il filesystem attuale (firma, data e dimensione dei file). Alcuni esempi sono TripWire [TW] e Aide [AI]. - Log-monitoring: controllano l'attività del sistema per mezzo dell'analisi dei log del kernel o di particolari processi. (Swatch [SW], Logsurfer [LS], Logwatch [LW]). - OS-monitoring: controllano le attività di base del sistema operativo direttamente in kernel space, per esempio attraverso l'uso di moduli del kernel (Grsecurity [GR], KSTAT [KSTAT]). Come sempre, esistono HIDS appartenenti ad una singola famiglia e numerosi altri ibridi Tripwire Tripwire è un HIDS di tipo filesystem monitoring. Il suo funzionamento è abbastanza semplice (vedere la figura 3). La prima fase è quella di installare Tripwire sul targetsystem e di creare il DB trusted prima che il sistema venga messo in produzione (reso pienamente operativo) (punto 1): questa procedura ci garantisce che tutte le informazioni raccolte nella base dati siano corrette. Durante il normale funzionamento 1 La licenza Opensource più utilizzata è la GPL [GPL]. 18

21 (punto 2), Tripwire controlla quegli attributi dei file che non dovrebbero modificarsi, come la loro signature (ottenuta mediante hashing MD5), la loro dimensione, la data di creazione, etc. Quando si verifica una discordanza con la base dati costruita nel punto 1 lo strumento genera un allarme per l'amministratore (punto 3). Figura 3. L'architettura di Tripwire In questo modo, qualsiasi modifica dell'attaccante al filesystem (precisamente solo a quella parte di filesystem controllata da Tripwire) è tempestivamente segnalata al SSO. Ai più attenti tra voi sarà sorta una domanda spontanea: quali file far controllare a Tripwire?. La risposta a questo quesito sta nella risposta a un secondo quesito: quali file si presume andrà a modificare il nostro attaccante?. Ritengo sia molto importante per un site security officer conoscere il comportamento tipico dei suoi avversari. Far sicurezza è come giocare una partita con il nostro attaccante: sarà persa in partenza qualora l'attaccante abbia uno skill 1 troppo elevato rispetto a quello dell'amministratore. Una volta ottenuto l'accesso ad un sistema, l'interesse maggiore dell'attaccante diventa quello di mantenerlo per un tempo più lungo possibile. Questa necessità corrisponde a quella di nascondersi accuratamente all'occhio dell'amministratore che supervisiona le 1 Termine frequentemente utilizzato in ambito informatico per indicare l'abilità di una persona. 19

22 attività dello stesso. Esistono molte tecniche, più o meno raffinate, per assolvere questo compito: quella utilizzata dipenderà dallo skill dell'attaccante. Molte di queste richiedono la modifica di particolari files: i log di un demone, le configurazioni di un programma, i binari e le librerie di sistema. E' in queste situazioni che un HIDS come Tripwire genera un allarme avvisando l'amministratore di un comportamento anomalo causato, per l'appunto, dalla presenza di un intruso GrSecurity Lo stesso effetto viene raggiungo da GrSecurity sfruttando un approccio complementare: il controllo del sistema in kernel space. Attraverso opportune modifiche alle chiamate di sistema e ai meccanismi di gestione delle risorse, GrSecurity è in grado di riconoscere tempestivamente numerosi attacchi portati dall'attaccante per percorrere la scalata di privilegi verso root o per provocare un DoS. GrSecurity è allo stesso tempo un tool di hardening e un host-based IDS con le seguenti caratteristiche: Protezione contro i più comuni metodi per exploitare un sistema: Modifica dello spazio d'indirizzamento Race condition (specialmente in /tmp) Rottura di un ambiente chrottato Ricco sistema di ACL con un tool di amministrazione user-space Supporto per sysctl (modifica al volo via procfs) Meccanismo di logging degli attacchi e auditing di alcuni eventi: Exec() Chdir(2) mount(2)/unmount(2) Creazione ed elimina di IPC (semafori, code di messaggi) Fork fallite Supporto per l'architettura multi-processore KSTAT Completo la panoramica degli host-based IDS in kernel space citando il tool di Matteo 20

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Direttamente dalla sorgente Network IDS Oggi & nel Futuro

Direttamente dalla sorgente Network IDS Oggi & nel Futuro Direttamente dalla sorgente Network IDS Oggi & nel Futuro Graham Welch Director EMEA, Sourcefire Inc. Agenda Background sull Intrusion Detection Un giorno nella vita di Intrusion Prevention vs. Intrusion

Dettagli

IDS: Intrusion detection systems

IDS: Intrusion detection systems IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo

Dettagli

Intrusion Detection Systems

Intrusion Detection Systems Intrusion Detection Systems Introduzione, Tecnologie, Implementazione Ing. Stefano Zanero Politecnico di Milano Richiamiamo il punto chiave Continuando a usare il paradigma classico Who are you? What can

Dettagli

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2014/15 Lezione XI: 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r.

Network Hardening. Università degli Studi di Pisa. Facoltà di Scienze Matematiche, Fisiche e Naturali. Stage svolto presso BK s.r. Network Hardening Università degli Studi di Pisa Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea in Informatica Applicata Stage svolto presso BK s.r.l Tutor Accademico Candidato Tutor

Dettagli

SISTEMA DI LOG MANAGEMENT

SISTEMA DI LOG MANAGEMENT SIA SISTEMA DI LOG MANAGEMENT Controllo degli accessi, monitoring delle situazioni anomale, alerting e reporting Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Intrusion Detection System

Intrusion Detection System Intrusion Detection System Snort Giampaolo Fresi Roglia gianz@security.dico.unimi.it Sommario Collocazione in rete Scenari di installazione Snort Installazione e Configurazione su Debian Rete di esempio

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione delle applicazioni web Kleis A.I. SecureWeb www.kwaf.it Cos'è Kleis A.I. SecureWeb? Kleis A.I. SecureWeb è un modulo software della Kleis A.I. Security Suite che ha

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento

Dettagli

Sicurezza architetturale, firewall 11/04/2006

Sicurezza architetturale, firewall 11/04/2006 Sicurezza architetturale, firewall 11/04/2006 Cos è un firewall? Un firewall è un sistema di controllo degli accessi che verifica tutto il traffico che transita attraverso di lui Consente o nega il passaggio

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

Protocolli di Sessione TCP/IP: una panoramica

Protocolli di Sessione TCP/IP: una panoramica Protocolli di Sessione TCP/IP: una panoramica Carlo Perassi carlo@linux.it Un breve documento, utile per la presentazione dei principali protocolli di livello Sessione dello stack TCP/IP e dei principali

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com

Besnate, 24 Ottobre 2009. Oltre il Firewall. pipex08@gmail.com Besnate, 24 Ottobre 2009 Oltre il Firewall Autore: Gianluca pipex08@gmail.com Cos'è un firewall i FIREWALL sono i semafori del traffico di rete del nostro PC Stabiliscono le regole per i pacchetti che

Dettagli

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS) Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)

Dettagli

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali

Sviluppo siti e servizi web Programmi gestionali Formazione e Consulenza Sicurezza informatica Progettazione e realizzazione di reti aziendali 1 Caratteristiche generali Nati dall esperienza maturata nell ambito della sicurezza informatica, gli ECWALL di e-creation rispondono in modo brillante alle principali esigenze di connettività delle aziende:

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Monitorare la superficie di attacco Dott. Antonio Capobianco (Founder and CEO Fata Informatica) Vulnerabilità Difetto o debolezza che può essere sfruttata per violare la politica di sicurezza di un sistema(*)

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

Riccardo Paterna

Riccardo Paterna <paterna@ntop.org> Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release pubblica v 0.4 (GPL2)

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper Gestione Proattiva di Minacce di Sicurezza StoneGate Management Center White Paper Marco Rottigni 4/27/2007 Pag. 2 di 8 Sommario Capitolo 1 Introduzione 3 Capitolo 2 StoneGate Management Center Security

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL

INTRODUZIONE ALLA SICUREZZA: IL FIREWALL INTRODUZIONE ALLA SICUREZZA: IL FIREWALL Fino a qualche anno fa la comunicazione attraverso le reti di computer era un privilegio ed una necessità di enti governativi e strutture universitarie. La sua

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Sistemi di rilevamento malware: non tutti sono uguali

Sistemi di rilevamento malware: non tutti sono uguali Sistemi di rilevamento malware: non tutti sono uguali Internet è diventata il principale veicolo di infezione dei PC tramite la diffusione di malware. Ogni giorno, infatti, Sophos rileva una nuova pagina

Dettagli

Il firewall Packet filtering statico in architetture avanzate

Il firewall Packet filtering statico in architetture avanzate protezione delle reti Il firewall Packet filtering statico in architetture avanzate FABIO GARZIA DOCENTE ESPERTO DI SECURITY UN FIREWALL PERIMETRALE È IL PUNTO CENTRALE DI DIFESA NEL PERIMETRO DI UNA RETE

Dettagli

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business

La guida CRM per eliminare le incertezze: prendete il controllo del vostro business 2 La guida CRM per eliminare le incertezze: prendete il controllo del vostro business (2 - migliorate la vostra credibilità: i 5 passi per dimostrare l efficacia del Marketing) Pagina 1 di 9 SOMMARIO PREMESSA...

Dettagli

Reti di calcolatori. Lezione del 25 giugno 2004

Reti di calcolatori. Lezione del 25 giugno 2004 Reti di calcolatori Lezione del 25 giugno 2004 Tecniche di attacco Denial of Service : impedisce ad una organizzazione di usare i servizi della propria rete; sabotaggio elettronico Gli attacchi DoS possono

Dettagli

Architetture Applicative

Architetture Applicative Alessandro Martinelli alessandro.martinelli@unipv.it 6 Marzo 2012 Architetture Architetture Applicative Introduzione Alcuni esempi di Architetture Applicative Architetture con più Applicazioni Architetture

Dettagli

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione

hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione hplinux sommario 7-11-2001 13:14 Pagina V Indice Introduzione XIII Capitolo 1 Introduzione agli strumenti di sicurezza Open Source 1 Strumenti utilizzati negli esempi di questo libro 2 1.1 Licenza GPL

Dettagli

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato SCP: SCHEDULER LAYER a cura di Alberto Boccato PREMESSA: Negli ultimi tre anni la nostra scuola ha portato avanti un progetto al quale ho partecipato chiamato SCP (Scuola di Calcolo Parallelo). Di fatto

Dettagli

I sistemi di Intrusion Detection:

I sistemi di Intrusion Detection: I sistemi di Intrusion Detection: problemi e soluzioni http://www.infosec.it info@infosec.it Relatore: Igor Falcomatà Infosecurity 2002 I sistemi di Intrusion Detection (IDS): problemi e soluzioni - Pagina

Dettagli

Monitoring high-speed networks using ntop Riccardo Paterna

Monitoring high-speed networks using ntop Riccardo Paterna Monitoring high-speed networks using ntop Riccardo Paterna Project History Iniziato nel 1997 come monitoring application per l'università di Pisa 1998: Prima release

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati. LA RETE INFORMATICA NELL AZIENDA Capire i benefici di una rete informatica nella propria attività. I componenti di una rete I dispositivi utilizzati I servizi offerti LA RETE INFORMATICA NELL AZIENDA Copyright

Dettagli

PACKET FILTERING IPTABLES

PACKET FILTERING IPTABLES PACKET FILTERING IPTABLES smox@shadow:~# date Sat Nov 29 11:30 smox@shadow:~# whoami Omar LD2k3 Premessa: Le condizioni per l'utilizzo di questo documento sono quelle della licenza standard GNU-GPL, allo

Dettagli

Tecnologie Informatiche. security. Rete Aziendale Sicura

Tecnologie Informatiche. security. Rete Aziendale Sicura Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati

Dettagli

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router Rete di reti (interrete, internet) 2 Prof. Roberto De Prisco TEORIA - Lezione 8 Rete di reti e Internet Università degli studi di Salerno Laurea e Diploma in Informatica Una rete di comunicazione è un

Dettagli

INTERNET INTRANET EXTRANET

INTERNET INTRANET EXTRANET LEZIONE DEL 17/10/08 Prof.ssa Antonella LONGO In un sistema WEB possono esserci tre configurazioni possibili: internet, intranet ed extranet. La differenza viene fatta dalla presenza o meno di firewall

Dettagli

LICARUS LICENSE SERVER

LICARUS LICENSE SERVER UNIVERSITÀ DEGLI STUDI DI ROMA TOR VERGATA Facoltà di Ingegneria Corso di Laurea Specialistica in Ingegneria Informatica Progetto per il corso di Sicurezza dei Sistemi Informatici LICARUS LICENSE SERVER

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

VPN (OpenVPN - IPCop)

VPN (OpenVPN - IPCop) VPN (OpenVPN - IPCop) Davide Merzi 1 Sommario Indirizzo IP Reti Pubbliche Private Internet Protocollo Firewall (IPCop) VPN (OpenVPN IPsec on IPCop) 2 Indirizzo IP L'indirizzo IP (Internet Protocol address)

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Allegato 2: Prospetto informativo generale

Allegato 2: Prospetto informativo generale Gara a procedura ristretta accelerata per l affidamento, mediante l utilizzo dell Accordo Quadro di cui all art. 59 del D.Lgs. n. 163/2006, di Servizi di Supporto in ambito ICT a InnovaPuglia S.p.A. Allegato

Dettagli

Usa ESET NOD32 Antivirus 8 per ottenere una protezione totale del tuo computer.

Usa ESET NOD32 Antivirus 8 per ottenere una protezione totale del tuo computer. Leggero, potente e facile da usare Il motore antivirus e antispyware ThreatSense di NOD32 garantisce la protezione del tuo computer usando un quantitativo di risorse molto ridotto, vigilando sulla sicurezza

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

Firewall-Proxy Clanius Appliance Extreme [v1.0]

Firewall-Proxy Clanius Appliance Extreme [v1.0] Firewall-Proxy Clanius Appliance Extreme [v1.0] STOP AI PERICOLI DI NAVIGAZIONE INTERNET! In cosa consiste? Firewall-Proxy Clanius Appliance Extreme è la soluzione completa e centralizzata per monitorare,

Dettagli

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1

Firewall e IDS/IPS. Che cos è un firewall? Ingress vs. Egress firewall. M.Aime, A.Lioy - Politecnico di Torino (1995-2011) 1 Firewall e IDS/IPS Antonio Lioy < lioy @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Che cos è un firewall? firewall = muro tagliafuoco collegamento controllato tra reti a diverso livello

Dettagli

3. Introduzione all'internetworking

3. Introduzione all'internetworking 3. Introduzione all'internetworking Abbiamo visto i dettagli di due reti di comunicazione: ma ce ne sono decine di tipo diverso! Occorre poter far comunicare calcolatori che si trovano su reti di tecnologia

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI Confronto tra ISO-OSI e TCP/IP, con approfondimento di quest ultimo e del livello di trasporto in cui agiscono i SOCKET. TCP/IP

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

Man-in-the-middle su reti LAN

Man-in-the-middle su reti LAN Università degli Studi di Udine Dipartimento di Ingegneria Gestionale, Elettrica e Meccanica 21 Marzo 2011 Scaletta 1 2 LAN switched ARP Alcuni attacchi MITM 3 4 5 Che cos è L attacco man-in-the-middle

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Una minaccia dovuta all uso dell SNMP su WLAN

Una minaccia dovuta all uso dell SNMP su WLAN Una minaccia dovuta all uso dell SNMP su WLAN Gianluigi Me, gianluigi@wi-fiforum.com Traduzione a cura di Paolo Spagnoletti Introduzione Gli attacchi al protocollo WEP compromettono la confidenzialità

Dettagli

Informatica di Base - 6 c.f.u.

Informatica di Base - 6 c.f.u. Università degli Studi di Palermo Dipartimento di Ingegneria Informatica Informatica di Base - 6 c.f.u. Anno Accademico 2007/2008 Docente: ing. Salvatore Sorce Il Sistema Operativo Gerarchia del software

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

IDS/IPS SNORT. Chi sono? Alessio Rocchi. Studente di Informatica all'unipi. Socio @System. Membro Xoned Security Team. Varie ed altre.

IDS/IPS SNORT. Chi sono? Alessio Rocchi. Studente di Informatica all'unipi. Socio @System. Membro Xoned Security Team. Varie ed altre. IDS/IPS SNORT Chi sono? Alessio Rocchi. Studente di Informatica all'unipi. Socio @System. Membro Xoned Security Team. Varie ed altre. Di cosa Parlo? SNORT come IDS/IPS. Interfaccia web di controllo per

Dettagli

Applied Research & Technology Dept.

Applied Research & Technology Dept. 17/12/08 Elenco Tesi Disponibili Applied Research & Technology Dept. La Società MBDA La MBDA Italia è un azienda leader nella realizzazione di sistemi di difesa che con i suoi prodotti è in grado di soddisfare

Dettagli

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE

SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE SPIKE APPLICATION SECURITY: SICUREZZA DIRETTAMENTE ALL INTERNO DEL CICLO DI VITA DEL SOFTWARE La sicurezza delle applicazioni web si sposta a un livello più complesso man mano che il Web 2.0 prende piede.

Dettagli

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Problematiche correlate alla sicurezza informatica nel commercio elettronico Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli